Diapositivas ACLs

Captulo 6: Access Lists
ltima actualizacin: 14 de Enero de 2004

Autor: Eduardo Collado edu@eduangi.com Captulo 6: Cisco CCNA -CNAP
Profesor: Eduardo Collado Cabeza
Contenido
Configuracin de Access Lists
Captulo 6: Cisco CCNA -CNAP
Por qu utilizar Access Lists
Gestionar el trfico IP a medida que el acceso crece Filtrar los paquetes que pasan por el router
Aplicaciones de los Access Lists
Permiten o deniegan el movimiento de los paquetes a travs del router. Permiten o deniegan el acceso a las vty de/desde otro lugar Sin access lists, todos los paquetes deben ser transmitidos a otras partes de la red
Otros usos de los Access Lists
Especial cuidado para el trfico basado en paquetes de test (p.e. Actualizaciones de routing)
Tipos de Access Lists
Estndar Comprueba la direccin de origen Generalmente permite o deniega la suite de protocolos completo Extendida Comprueba las direcciones origen y destino Generalmente permite o deniega protocolos especficos
Cmo Identificar un Access Lists
ACL Estndar (1-99) condiciones de test para todos los paquetes IP desde una direccin de origen. ACL Extendida (100-199) condiciones de test y direcciones de origen y destino, protocolos especficos de la pila TCP/IP. Y puertos de destino. ACL Estndar (1300-1999) (rango expandido). ACL Extendida (2000-2699) (rango expandido).
Otros nmeros de ACL se pueden utilizar para otros protocolos de red

Probando paquetes con Access Lists Estndar
Probando paquetes con Access Lists Extendidos
Operacin de ACL salientes
Si no se encuentra un ACL para el paquete, este es descartado.

10
Lista de pruebas Test: Permitir o Denegar
11
Wildcard Bits: Como comprobar la correspondencia con los bits de direcciones

0 significa comprobar el valor del bit correspondiente de la direccin. 1 significa ignorar el valor del correspondiente bit de direccin.
12
Wildcard Bits para encontrar la ocuirrencia de una direccin de host

Comprobar TODOS los bits de la direccin Verificar la direccin IP del host, p.e.
Por ejemplo, 172.30.16.29 0.0.0.0 comprueba todos lso bitsw de la direccin. Se puede abreviar esta wildcard mask utilizando la direccin IP precedida por la palabra host (host 172.30.16.29).
13
Wildcard Bits para encontrar subredes

Comprobar las subredes 172.30.16.0/24 a 172.30.31.0/24.
Address and wildcard mask: 172.30.16.0 0.0.15.255
14
Configuracin de Access Lists

Los nmeros de ACLs indican que protocolo se est filtrando. Se permite un ACL por interfaz, por protocolo, por direccin. El orden de las reglas del ACL controla el test. Situar la regla ms resctrictiva al incio de la lista. Existe un deny implcito en la ltima regla. Cada ACL necesita al menos una regla. Crear los ACL antes de aplicarlos a los interfaces. Los ACL filtran el trfico que atraviesa el router; no filtran el trfico originado en el router.
15
ACL Estndar (Ejemplo 1)
Slo permite la red 172.16.0.0

16
Deniega el equipo 172.16.4.13

17
Deniega la subred 172.16.4.0/24

18
Configuracin de ACLs extendidos
Router(config)#access-list nmero_de_access-list {permit | deny} protocolo origen wildcard_de_origen [puerto] destino wildcard_de_destino [puerto]
Configura los parmetros para esta entrada
Router(config-if)#ip access-group nmero_de_access-list {in | out}
Activa la ACL extendida en este interfaz
19
ACL Extendido (Ejemplo 1)
Deniega el FTP desde la subred 172.16.4.0/24 a la subred 172.16.3.0/24 de salida en el interfaz ethernet 0. Permite todo el otro tipo de trfico
20
ACL Extendido (Ejemplo 2)
Deniega slo el Telnet desde la subred 172.16.4.0/24 saliedo por la ethernet 0.

Permite el resto del trfico.

21
Utilizando ACLs nombrados

Router(config)#ip access-list {standard | extended} nombre
El nombre alfanumrico tiene que ser nico.

Router(config) {std- | ext-}nacl)[nmero] {permit | deny} {condiciones de test del access list} {permit | deny} {condiciones de test del access list} no {permit | deny} {ip access list test conditions}
Permite o deniega sentencias que no tienen nmero. no borra el ACL.

Router(config-if)#ip access-group nombre {in | out}
Activa el ACL nombrado IP en el interfaz.

22
Filtrando el acceso vty del router
Cinco lneas de terminales virtuales en el router (0 a 4). Filtra direcciones que pueden acceder dentro de los puertos vty del router. Filtrar el acceso vty hacia afuera del router.
23
Cmo controlar el acceso vty
Configurar un ACL estndar. Utilizar el modo de configuraicn de linea para filtrar el acceso con el comando access-class. Realizar identica restricccin en cada vty.
24
Comandos vty
Router(config)#line vty {nmero_de_vty | rango-vty}
Entrar en la configuracin del/los vty

Router(config-line)#access-class nmero_de_accesslist {in | out}
Restringir las conexiones vty salientes o entrantes para las direcciones del access list
25
Ejemplo de acceso al vty
Controlando el acceso de entrada

access-list 12 permit 192.168.1.0 0.0.0.255 (implicit deny all) ! line vty 0 4 access-class 12 in
Permite slo a los hosts de la red 192.168.1.0 0.0.0.255 conectarse al router por vty
26
Principios de configuracin de los ACLs

El orden de los parmetros del access list es crucial.
Recomendacin: Utilizar un editor de texo en el PC para crear las sentencias del access-list, entonces copiar y pegar en el router. El proceso de arriba a abajo es importante. Poner las restricciones ms especficas al principio.
No reordenar o borrar sentencias.

Utiliza el comando no access-list [nmero] para borrar el ACL completo. Excepcin: Los ACLs nombrados permiten borrar sentencias individuales.
Un deny est siempre implcito al final de cada access-list.

A no ser que el ACL termine con un explcitop permit any.
27
Donde colocar los ACLs IP
Colocar los ACLs extendidos cerca del origen. Colocar los ACLs estdard cerca del destino.
28
Verificando los ACLs

wg_ro_a#show ip interfaces e0 Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted>
29
Monitorizando los ACLs

wg_ro_a#show {protocolo} access-list {nmero_de_access-list}
wg_ro_a#show access-lists {nmero_de_access-list}
wg_ro_a#show access-lists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1 Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data
30
Bibliografa del Tema 6

Gua del Segundo Ao Ed. Cisco Press [Cap.6]
31

Diapositivas ACLs

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Diapositivas ACLs

Enviado por

Direitos autorais:

Formatos disponíveis

Captulo 6: Access Lists

ltima actualizacin: 14 de Enero de 2004

Captulo 6: Cisco CCNA -CNAP

Profesor: Eduardo Collado Cabeza

Por qu utilizar Access Lists

Aplicaciones de los Access Lists

Otros usos de los Access Lists

Tipos de Access Lists

Cmo Identificar un Access Lists

Otros nmeros de ACL se pueden utilizar para otros protocolos de red

Probando paquetes con Access Lists Estndar

Captulo 6: Cisco CCNA -CNAP

Profesor: Eduardo Collado Cabeza

Probando paquetes con Access Lists Extendidos

Captulo 6: Cisco CCNA -CNAP

Profesor: Eduardo Collado Cabeza

Operacin de ACL salientes

Captulo 6: Cisco CCNA -CNAP

Si no se encuentra un ACL para el paquete, este es descartado.

Lista de pruebas Test: Permitir o Denegar

Captulo 6: Cisco CCNA -CNAP

Profesor: Eduardo Collado Cabeza

Wildcard Bits: Como comprobar la correspondencia con los bits de direcciones

Wildcard Bits para encontrar la ocuirrencia de una direccin de host

Wildcard Bits para encontrar subredes

Captulo 6: Cisco CCNA -CNAP

Profesor: Eduardo Collado Cabeza

Configuracin de Access Lists

Captulo 6: Cisco CCNA -CNAP

Profesor: Eduardo Collado Cabeza

ACL Estndar (Ejemplo 1)

Captulo 6: Cisco CCNA -CNAP

Slo permite la red 172.16.0.0

ACL Estndar (Ejemplo 2)

Deniega el equipo 172.16.4.13

ACL Estndar (Ejemplo 3)

Deniega la subred 172.16.4.0/24

Configuracin de ACLs extendidos

Configura los parmetros para esta entrada

Router(config-if)#ip access-group nmero_de_access-list {in | out}

Activa la ACL extendida en este interfaz

Captulo 6: Cisco CCNA -CNAP

Profesor: Eduardo Collado Cabeza

ACL Extendido (Ejemplo 1)

ACL Extendido (Ejemplo 2)

Deniega slo el Telnet desde la subred 172.16.4.0/24 saliedo por la ethernet 0.

Permite el resto del trfico.

Utilizando ACLs nombrados

El nombre alfanumrico tiene que ser nico.

Permite o deniega sentencias que no tienen nmero. no borra el ACL.

Activa el ACL nombrado IP en el interfaz.

Filtrando el acceso vty del router

Cmo controlar el acceso vty

Router(config)#line vty {nmero_de_vty | rango-vty}

Entrar en la configuracin del/los vty

Profesor: Eduardo Collado Cabeza

Ejemplo de acceso al vty

Controlando el acceso de entrada

Captulo 6: Cisco CCNA -CNAP

Profesor: Eduardo Collado Cabeza

Principios de configuracin de los ACLs

No reordenar o borrar sentencias.

Un deny est siempre implcito al final de cada access-list.

Donde colocar los ACLs IP